GDPR, il nuovo Regolamento Generale sulla privacy e protezione dei dati

Dal 25 maggio diventa applicabile il nuovo regolamento europeo UE 2016/679, in materia di privacy e tutela dei dati.

Come molti di voi già sapranno, a partire dal prossimo 25 maggio 2018 saranno applicabili le norme stabilite  dal nuovo Regolamento Generale sulla Protezione dei Dati  – GDPR (General Data Protection Regulation) già  in vigore a livello di Comunità Europea dal 24 maggio 2016.

Il nuovo regolamento apporterà una serie di innovazioni che riguarderanno da vicino ogni singolo cittadino ma anche e soprattutto le aziende, gli enti pubblici, i liberi professioni e le associazioni. Principale finalità quella di garantire ai cittadini europei pieno controllo sui propri dati personali, attraverso l’adozione di regole più trasparenti e soprattutto omogenee in tutta l’Unione Europea, regole che consentano di rafforzare le modalità di trattamento dei dati personali nella UE.

Nuove norme e linee guida, regolamenteranno in materia di trattamento dei dati personali, norme a cui tutte le realtà professionali dovranno attenersi rispettando determinati obblighi per la tutela della privacy dei cittadini, all’interno ed all’esterno dei confini dell’Unione Europea. L’applicazione del nuovo regolamento, in base al GDPR, oltre a consolidare le misure per la tutela della privacy, risponde anche e soprattutto ad un’esigenza di tutela e sicurezza dei dati  rispetto alle minacce informatiche, un problema sentito a livello globale che sta assumendo aspetti sempre più complessi.

L’adeguamento riguarda tutte le aziende europee indipendentemente dalle dimensioni, inoltre l’obbligo di osservanza delle direttive è imposto anche alle imprese con sede legale al di fuori del territorio europeo che, nello svolgimento delle loro attività gestiscano dati personali di residenti nella UE.

Nello specifico, le aziende che sono direttamente interessate al recepimento della normativa sono:

• Aziende che hanno una presenza fisica in almeno uno Stato dell’Unione Europea
• Aziende straniere che processano o memorizzano dati personali di cittadini europei
• Aziende che utilizzano servizi di terze parti che processano o memorizzano dati personali di cittadini europei

Ecco in sintesi quali sono i diritti, i doveri e le responsabilità stabiliti dal Garante per la Privacy, nel nuovo Regolamento UE/2016/679 e quali i cambiamenti che apporteranno nella gestione delle aziende. Le nuove linee guida sono indicate all’art. 6 del regolamento e in gran parte coincidono con quelle previste dal precedente Codice privacy – d.lgs. 196/2003.

Quali i diritti del cittadino o persona fisica, nei confronti di aziende, enti, associazioni etc., che gestiscono i loro dati personali ovvero i titolari del trattamento dei dati:

– Diritto ad essere informato
Ancor prima di entrare in possesso dei dati, si rende necessario comunicare agli utenti come i suoi dati verranno raccolti, processati e archiviati e a quale scopo.

– Diritto di accesso
Gli utenti hanno il diritto di accedere ai propri dati.

– Diritto di rettifica
Gli utenti devono avere la possibilità di correggere i propri dati in caso siano sbagliati o incompleti.

– Diritto di oblio
Gli utenti devono avere la possibilità  di cancellare definitivamente tutti i propri dati personali.

– Diritto di limitazione
Gli utenti possono limitare l’utilizzo dei propri dati in utilizzo all’azienda o vietarne l’utilizzo.

– Diritto di portabilità
Gli utenti hanno il diritto di copiare o trasferire i propri dati personali da un controller ad un altro di propria scelta, in modo sicuro ed in un formato machine-reliable.

– Diritto di opposizione
Gli utenti possono vietare l’utilizzo, la rielaborazione e l’inserimento in liste di marketing dei propri dati senza esplicito consenso.

– Diritto di divieto all’automazione
Gli utenti hanno il diritto di richiedere che i propri dati non vengano trattati attraverso sistemi automatici ma che ci sia l’intervento umano.

Il Garante della Privacy ha inoltre fissato specifici requisiti cui devono attenersi le aziende, gli enti, le associazioni, titolari del trattamento dei dati, che raccolgono, archiviano e processano dati personali.

• Rispetto del Data Breach (violazione dei dati)
  In caso di violazione dei dati personali, il titolare del trattamento dei dati ha l’obbligo di notificare all’autorità di controllo la violazione entro e non oltre 72 ore dal momento in cui ne viene a conoscenza.

• Accountability
  Ogni azienda ha l’obbligo di individuare i mezzi (software e sistemi) attraverso i quali verranno trattati per i dati da utilizzare nei processi valutandone la conformità al nuovo regolamento GDPR.

• Nomina del Data Protection Officer (DPO)
  Il DPO è una persona nominata come responsabile tenuta a vigilare sui processi interni all’azienda e verificare l’attuazione di tutte le direttive del regolamento. Ha un ruolo di collegamento tra l’azienda e l’Autorità Garante nazionale.

• Data protection by design
  Le aziende hanno l’obbligo di garantire l’inviolabilità dei dati dei loro utenti da accessi non autorizzati o non previsti dalla legge.

• Data protection by default
  Le aziende devono trattare  i dati personali nella misura necessaria e sufficiente per le finalità previste dalle loro attività e per un periodo di tempo strettamente necessario a tali scopi.

In conclusione, sta cambiando profondamente la visione generale rispetto alla gestione del trattamento dei dati personali i quali vengono considerati dei veri e propri elementi di rischio e come tali, da trattare con opportune regolamentazioni e con il supporto di un adeguato Sistema di Gestione dei Rischi.

Sebbene la scadenza del 25 maggio sia ormai imminente, nell’affrontare l’adeguamento alla nuova normativa sulla privacy è consigliabile non farsi prendere dalla fretta, adottando soluzioni improvvisate, bensì avvalersi di consulenti preparati e certificati in questa materia che valutino “il da farsi” in base alla specifica situazione dell’impresa, in modo da ottimizzare gli investimenti necessari all’obiettivo.

Agenzia Dixit è in grado di darvi una consulenza professionale personalizzata per adeguare la vostra azienda alle normative previste dal nuovo regolamento europeo in materia di privacy e tutela dei dati – UE 2016/679. Nel caso siate interessati a ricevere maggiori informazioni sull’argomento siamo a vostra completa disposizione con uno staff di professionisti preparati e competenti.